Раздача ролей

Как защититься от хаков, спрятать БД и прочие премудрости и настройки

Модератор: kdv

Ответить
Guardian
Сообщения: 35
Зарегистрирован: 07 авг 2008, 12:05

Раздача ролей

Сообщение Guardian » 09 окт 2008, 19:50

Сервер Firebird 1.5.5.4926 SS под Windows XP Pro
Создаю от имени SYSDBA нового пользователя. Лишаю его всех прав. Создаю 2 роли типа Администратор и Пользователь. Администратору даю все привелегии с возможностью раздачи. А у пользователя привелегии пытаюсь сменить от лица Администратора. Предварительно созданного пользователя включаю в эти роли.

Вот описание действий по шагам.
1)Отнимаю у пользователя PUBLICK все привеллегии
2) Создаю роль администратора ADMIN, и даю ему привеллегии
CREATE ROLE ADMIN
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES ON KLIENT TO ADMIN WITH GRANT OPTION;
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES ON LANGUAGES TO ADMIN WITH GRANT OPTION;
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES ON SOST TO ADMIN WITH GRANT OPTION;
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES ON POLZ TO ADMIN WITH GRANT OPTION;
3)Создаю роль пользователя MENEDG
CREATE ROLE MENENG
4) Включаю пользователя USER в роль ADMIN и роль MENEDG;
GRANT ADMIN TO USER;
GRANT MENEDG TO USER;
5)Захожу под пользователем USER с ролью ADMIN и пытаюсь дать привелегии пользователю
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES ON POLZ TO MENEDG WITH GRANT OPTION;
получаю ошибку
Error Message:
----------------------------------------
This operation is not defined for system tables.
unsuccessful metadata update.
no S privilege with grant option on table/view POLZ.

Если кто то сталкивался может подскажет что я делаю не так ?
Заранее благодарю за ответ.
Последний раз редактировалось Guardian 15 окт 2008, 12:06, всего редактировалось 6 раз.

kdv
Forum Admin
Сообщения: 6595
Зарегистрирован: 25 окт 2004, 18:07

Re: Раздача ролей

Сообщение kdv » 11 окт 2008, 11:06

приведи пример DDL, где ты выдаешь права на конкретную таблицу роли, и какой именно оператор выдает тебе эту ошибку.
В общем, объясни, что именно ты делаешь. А то по твоему описанию неясно, что ты "делаешь не так".

Guardian
Сообщения: 35
Зарегистрирован: 07 авг 2008, 12:05

Re: Раздача ролей

Сообщение Guardian » 13 окт 2008, 09:30

Создаю роль администратора ADMIN, и даю ему привеллегии
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES ON KLIENT TO ADMIN WITH GRANT OPTION;
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES ON LANGUAGES TO ADMIN WITH GRANT OPTION;
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES ON SOST TO ADMIN WITH GRANT OPTION;
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES ON POLZ TO ADMIN WITH GRANT OPTION;
Создаю роль пользователя MENEDG, захожу под пользователем USER с ролью ADMIN и пытаюсь дать привелегии пользователю
GRANT SELECT, INSERT, UPDATE, DELETE, REFERENCES ON POLZ TO MENEDG WITH GRANT OPTION;
получаю ошибку
Error Message:
----------------------------------------
This operation is not defined for system tables.
unsuccessful metadata update.
no S privilege with grant option on table/view POLZ.

kdv
Forum Admin
Сообщения: 6595
Зарегистрирован: 25 окт 2004, 18:07

Re: Раздача ролей

Сообщение kdv » 13 окт 2008, 10:27

Создаю роль пользователя MENEDG, захожу под пользователем USER с ролью ADMIN
пропущено включение пользователя USER в роль ADMIN.
www.ibase.ru/devinfo/sqlroles.htm

Guardian
Сообщения: 35
Зарегистрирован: 07 авг 2008, 12:05

Re: Раздача ролей

Сообщение Guardian » 13 окт 2008, 10:34

kdv писал(а):
Создаю роль пользователя MENEDG, захожу под пользователем USER с ролью ADMIN
пропущено включение пользователя USER в роль ADMIN.
http://www.ibase.ru/devinfo/sqlroles.htm
Оно не пропушено. Я его не стал указывать как само сабой разумеюшиеся.
Но я не уверен что сделал правильно когда включил пользователя User и в группы ADMIN и MENEDG. В завмсимости от типа пользователя приложение подключается с нужной ролью.

kdv
Forum Admin
Сообщения: 6595
Зарегистрирован: 25 окт 2004, 18:07

Re: Раздача ролей

Сообщение kdv » 13 окт 2008, 18:49

Оно не пропушено. Я его не стал указывать как само сабой разумеюшиеся.
не надо предполагать. в первом письме ты об этом написал, а потом пропустил.
Можешь отредактировать свое письмо, добавить строку. Собственно, ты можешь вообще отредактировать первый пост, чтобы вопрос был целостный, со всей нужной информацией.

Guardian
Сообщения: 35
Зарегистрирован: 07 авг 2008, 12:05

Re: Раздача ролей

Сообщение Guardian » 15 окт 2008, 12:04

kdv писал(а):
Оно не пропушено. Я его не стал указывать как само сабой разумеюшиеся.
не надо предполагать. в первом письме ты об этом написал, а потом пропустил.
Можешь отредактировать свое письмо, добавить строку. Собственно, ты можешь вообще отредактировать первый пост, чтобы вопрос был целостный, со всей нужной информацией.
Изменил. Перенес все в 1 пост, так думаю будет понятнее. Но всеже ошибка остается. У меня 2 подозрения:
1) Я ложанулся когда назначил пользователя User на членство в группах MENEDG и ADMIN
2) Это баг сервера, а так как это версия 1.5 то на этот баг уже всеравно.
Каковы еще варианты почему не работает данная система ?

dimitr
Разработчик Firebird
Сообщения: 888
Зарегистрирован: 26 окт 2004, 16:20

Re: Раздача ролей

Сообщение dimitr » 15 окт 2008, 22:58

Guardian писал(а):2) Это баг сервера, а так как это версия 1.5 то на этот баг уже всеравно.
за время мусоления этого топика уже многократно можно было проверить наличие проблемы на всех без исключения версиях сервера

Guardian
Сообщения: 35
Зарегистрирован: 07 авг 2008, 12:05

Re: Раздача ролей

Сообщение Guardian » 16 окт 2008, 17:06

dimitr писал(а):
Guardian писал(а):2) Это баг сервера, а так как это версия 1.5 то на этот баг уже всеравно.
за время мусоления этого топика уже многократно можно было проверить наличие проблемы на всех без исключения версиях сервера
А более проктический совет у кого - нибудь есть ?

Merlin
Динозавр IB/FB
Сообщения: 1502
Зарегистрирован: 27 окт 2004, 11:44

Re: Раздача ролей

Сообщение Merlin » 16 окт 2008, 17:31

Есть, но kdv меня забанит.

kdv
Forum Admin
Сообщения: 6595
Зарегистрирован: 25 окт 2004, 18:07

Re: Раздача ролей

Сообщение kdv » 16 окт 2008, 17:36

ей-богу, я уже третий день смотрю на этот топик, и держу в мыслях "проверить". но что-то меня все время обламывает.

Ответить